网络基础与信息安全作者钱宗峰第九章病毒与黑客防范技术课件.pptVIP

2．黑客攻击的常用方法 黑客入侵的通道—端口 计算机是通过端口实现与外部通信的连接。黑客攻击是将系统和网络设置中的各种端口作为入侵通道。这里所指的端口是逻辑意义上的端口，是指网络中面向连接服务和无连接服务的通信协议端口（Protocol port），是一种抽象的软件结构，包括一些数据结构和I/O（输入输出）缓冲区。 2．黑客攻击的常用方法 黑客入侵的通道—端口 按端口号的分布划分 1）公认端口（0~1023），又称常用端口。 2）注册端口（1024~49151），又称保留端口。 3）动态/私有端口（49152~65535）。 按协议类型划分 按协议类型可以将端口划分为TCP和UDP端口。 1．黑客攻击的目的 黑客实施攻击，其目的概括地说有两个：其一，为了得到物质利益；其二，为了满足精神需求。物质利益是指获取金钱和财物；精神需求是指满足个人心理欲望。 1．黑客攻击的目的 黑客实施攻击，其目的概括地说有两个：其一，为了得到物质利益；其二，为了满足精神需求。物质利益是指获取金钱和财物；精神需求是指满足个人心理欲望。 2．黑客攻击的步骤 黑 客 攻 击 的 五 部 曲 隐藏IP 踩点扫描 获得特权 种植后门 隐身退出 1．端口扫描攻防 端口扫描及扫描器 扫描器（也称扫描工具、扫描软件）是一种自动检测远程或本地主机安全性弱点的程序。扫描器通过选用远程TCP/IP不同端口的服务，记录目标给予的回答，搜索到很多关于目标主机的各种有用信息（如是否能用匿名登录，是否有可写的FTP目录，是否能用TELNET等等）。扫描器不是一个直接攻击网络漏洞的程序，它仅能帮助使用者发现目标机的某些内在弱点。一个好的扫描器能对它得到的数据进行分析，帮助查找目标主机的漏洞。 1．端口扫描攻防 端口扫描方式 端口扫描的方式有手工命令行方式和使用端口扫描工具进行扫描。 在手工进行扫描时，需要熟悉各种命令，对命令执行后的输出进行分析。如Ping命令、Tracert命令（跟踪一个消息从一台计算机到另一台计算机所走的路径）、rusers和finger命令（这两个都是UNIX命令，能收集目标机上有关用户的消息）等。 目前，还有很多免费的端口扫描工具，可供任何人使用，如Superscan、X-Scan、Fluxay、Angry IP Scanner和NSE等。 1．端口扫描攻防 端口扫描攻击 端口扫描攻击采用探测技术，攻击者可将它用于寻找他们能够成功攻击的服务。常用的端口扫描攻击有： 秘密扫描 SOCKS端口探测 跳跃扫描 UDP扫描 1．端口扫描攻防 端口扫描的防范对策 防范端口扫描的主要方法有两种： 1）关闭闲置及有潜在危险端口。在Windows XP 中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。 2）屏蔽出现扫描症状的端口。检查各端口，有端口扫描症状时，立即屏蔽该端口。这种预防端口扫描的方式需要借助软件。这些软件就是我们常用的网络防火墙和入侵检测系统等。现在市面上几乎所有网络防火墙都能够抵御端口扫描。 2．网络监听攻防 网络监听 网络监听是指通过某种手段监视网络状态、数据流以及网络上传输信息的行为。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网服务器等。 网络监听技术原本是提供给网络安全管理人员进行管理的工具，监视网络的状态、数据流动情况以及网络上传输的信息等。但黑客也往往利用监听技术攻击他人计算机系统，获取用户口令、捕获专用的或者机密的信息，这是黑客实施攻击的常用方法之一。 2．网络监听攻防 网络监听的检测 网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域网上传输的信息，不主动与其他主机交换信息，也没有修改在网上传输的数据包。在Linux下对嗅探攻击的程序检测方法比较简单，一般只要检查网卡是否处于混杂模式就可以了。 Windows平台中，并没有现成的函数可供实现这个功能，可以执行“C:\Windows\Drwatson.exe”程序检查一下是否有嗅探程序在运行即可。 3．密码破解攻防 密码破解攻击的方法 通过网络监听得到用户口令 利用Web页面欺骗 强行破解用户口令 密码分析的攻击 放置木马程序 3．密码破解攻防 密码破解的防范对策 不要将密码写下来，以免遗失 不要将密码保存在计算机文件中 不要让他人知道 不要选取显而易见的信息做密码 不要在不同系统中使用同一密码 4．特洛伊木马攻防 特洛伊木马概述 特洛伊木马（Trojan horse），简称“木马”。黑客程序借用其名，将隐藏在正常程序中一段具有特殊功能的恶意代码称作特洛伊木马。木马是